1. 概況
JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウエアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。また、こうした観測では、複数の視点による多元的な見方も重要であるため、主に海外のNational CSIRTと連携してそれぞれの組織にセンサーを設置し観測網に参加してもらう活動を行っています。各地のセンサーから収集したデータを分析し、問題が見つかれば、適切な地域のNational CSIRT等に情報を提供し、状況の改善を依頼しています。また、日本国内固有の問題については、JPCERT/CCの日々の活動の中で対処しています。
本レポートでは、国内に設置されたセンサーで本四半期に観測されたパケットを中心に分析した結果について述べます。
順位 | 宛先ポート番号 | 前四半期の順位 |
---|---|---|
1 | 23/TCP (telnet) | 1 |
2 | 445/TCP (microsoft-ds) | 2 |
3 | 80/TCP(http) | 3 |
4 | 8080/TCP | 6 |
5 | 22/TCP (ssh) | 4 |
[表1]に示した宛先ポート番号の各パケット観測数の推移を[図1]に示します。
クリックすると拡大されます
445/TCP宛のパケットが、8月12日以降増加傾向にあります。本現象については、「2.1 Port445/TCP宛のパケット数の増加」の節で述べます。
また、8080/TCPを含む複数のポートに対してパケットが増加したことが読み取れますが、これは一部のマルウエアが探索するポートを変更した影響であろうと考えられます。
同様に、送信元IPアドレスを地域ごとにまとめてパケットが多かった順に並べたトップ5を[表2]に示します。
順位 | 送信元地域 | 前四半期の順位 |
---|---|---|
1 | 中国 | 2 |
2 | ロシア | 3 |
3 | 米国 | 1 |
4 | オランダ | 5 |
5 | ウクライナ | TOP10外 |
[表2]の送信元地域からのパケット観測数の推移を[図2]に示します。
クリックすると拡大されます
次に送信元地域に着目すると、ウクライナからのパケットが8月20日頃から増加傾向にあります。送信元となっている機器は同じ番号のポートが開いていました。当該地域で広く使用されている機器がマルウエアに感染して、これらのパケットを送信していると考えられます。
2. 注目された現象
2.1. Port445/TCP宛のパケット数の増加2018年8月12日頃より、Port445/TCP宛のパケットが増加(*2)しています[図3]。パケットの送信元IPアドレスには国内のものも国外のものもあり、いずれもパケット数が以前と比べて増えています。この現象は日本だけでなくほかの地域でも観測されています。
クリックすると拡大されます
Port445/TCP宛のパケットは、2017年5月以降WannaCry等の探索活動に伴うものが観測されました(*3)が、8月12日以降はそれとは特徴が異なるパケットが含まれるようになりました。この特徴を持つパケットの送信元となっている国内外のIPアドレスについて調査を行ったところ、8割以上でWindows2003が稼働しているホストでしたが、それ以外にもWindows2008R2等のバージョンが確認されました。Windows2003だけに関連した問題ではないと考えられます。
日本国内から発信されたパケットのうち、発信元が企業等とみられたものについて、当該IPアドレスの管理者全てに連絡を行いました。一部の管理者からは、アンチウイルスソフトでマルウエアが発見されたという回答をいただきましたが、検知結果の詳細やマルウエアの検体は得られていません。JPCERT/CCでは本件に関する情報収集を継続して行っています。
今回確認された多くの場合ではWindows2003がOSとして使用されていました。インターネットに公開するサーバには、メーカーによる脆弱性への対応(*4)が行われているOSを使用してください。
3. 参考文献
最新情報についてはJPCERT/CCのWebサイトをご参照ください。
JPCERTコーディネーションセンター(JPCERT/CC)
https://www.jpcert.or.jp/tsubame/report/index.html